SYSTEM_V.EXE ИЛИ WORM.WIN32.AUTORUN.acm



Worm.Win32.AutoRun.acm (Kaspersky)
Win32.HLLW.Autoruner.767 (DrWeb)
Win32/AutoRun.NS (NOD32)

Вес червя 128 КБ (131 072 байт)
Упаковщик UPX 2.90
Протектор Yoda Crypter
MD5-сумма f9426d1f7bc4e2f33317c6aa6a34c5db
Программа написана на Delphi
Год написания программы 2007


При первом запуске червя с инфицированной флешки, червь копирует следующие файлы в директории системы


\system32

system_v.exe - Win32.HLLW.Autoruner.937 (Dr.Web) (отвечает за монторинг, копирование файла Autorun.inf и файла червя в корень локальных дисков и флэшек)
oeminf.exe - Trojan Spirt (Dr.Web)
oeminfo.exe - Trojan Spirt (Dr.Web)
oeminfo.ini - червь подменяет системный файл своим и меняет в нем информацию (сведения о производстве и поддержке ОС)
rmv.exe - Win32.HLLW.Autoruner.767 (Dr.Web) (основное тело червя)
rmv.txt - Win32.HLLW.Autoruner.767 (Dr.Web) (основное тело червя с расширением файла .txt)

\windows\temp\

system_v.exe - Win32.HLLW.Autoruner.937 (Dr.Web) (отвечает за мониторинг и копирование Autorun.inf и файла червя "system_v.exe" в корень жестких дисков и флэшек)

Также червь копирует следующие файлы в корень всех локальных дисков и USB-Flash накопителей.
system_v.exe - Win32.HLLW.Autoruner.767 (Dr.Web) (основное тело червя)
Autorun.inf - файл запуска червя












Червь обеспечивает себе запуск каждый раз со стартом системы с помощью ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = userinit.exe,C:\WINDOWS\system32\rmv.exe

В диспетчере задач в процессах появляется два процесса "system_v.exe" (отвечают за мониторинг и копирование Autorun.inf и файла червя "system_v.exe" в корень жестких дисков и флэшек)



















Они просто снимаются в диспетчере, и после их завершения не возобновляются, соответственно до следующего перезапуска системы или открытия локального диска в проводнике (если включен автозапуск при его открытии в проводнике запускается тело червя)

Интересная особенность червя заключается в том что если на флешке нет ни одной папки, то червь не заражает флешку, но как только на флешке появляется хоть одна папка (копируется или создается) он сразу копирует свои файлы Autorun.inf и system_v.exe на флеш. Если же снова удалить папку и файлы червя с флешки, то червь не заражает флешку (не копирует свои файлы Autorun.inf и system_v.exe на флеш) Вот такие причуды автора червя :) Интересно еще и то что червь не делает запрет на просмотр скрытых файлов и папок. Его файлы видны в корне флешки и локальных дисков, если просто включить в сервисе папки, показ скрытых файлов и папок и убрать галку скрывать защищенные системные файлы.

Червь перезаписывает системный файл по адресу \windows\system32\oeminfo.ini Данный файл отображает сведения о "производстве и поддержке ОС" Путь Пуск> свойства Мой клмпьютер > вкладка "Общие" Весьма самоуверенно, такое детство может написать только ребенок, ряды вирмейкеров очень молодеют.

















































Дело в том что даже после полного лечения системы, данная неприятная запись остается. Антивирус удаляет червя и все его компоненты, но такие вот "неприятные" сведения о производстве и поддержке ОС остаются. Что не может не раздражать! Поэтому я написал утилиту для лечения от данного червя, которую можно скачать здесь Утилита не только полностью удаляет червя из системы и флеш накопителей, но и убирает не лицеприятную запись о "производстве и поддержке ОС"
Для защиты и профилактики от Autorun вирусов используйте мою комплексную защиту дабы Autorun черви и вирусы не имели больше никакого шанса заразить вашу систему!

Лечение:

В общем то на момент написания этой статьи, этого червя "на ура" лечат утилиты AVPTool (Касперски) и CureIT! (Dr.Web) С этим червем за 2 секунды справляется и скрипт который написал я, специально для него. Одну из этих утилит можно сразу на зараженном компьютере скачать, и запустить с рабочего стола. Первая, вторая и третяя утилита с лечением справляется очень хорошо, находя при этом все состовляющие червя. Единственное НО! Заключается в том что ни одна из антивирусных утилит (AVPTool и CureIT!) не убирает "гадости" написанные червем в сведениях о "производстве и поддержке ОС" которые я показал выше в скриншотах. С этим положением я был категорически не согласен! И написал скриптик который это все очень быстро правит. Его можно скачать ЗДЕСЬ

Ну, а если есть те, кто хочет "забить" червячка в ручную для них я напишу ниже, как это сделать быстро и без пыли. Как говорится, для тех кто не понял как.

1) Запускаем диспетчер задач, рубим два процесса под названием "system_v.exe"

2) Создаем на рбочем столе пустой RARовский архив ( чтоб видеть скрытые системные файлы, или же можно разрешить просмотр скрытых системных файлов в свойствах папки Этот червь не блокирует их показ)

3) Открываем архив и через него идем в папочку С:\Windows\system32\

4) Ищем и удаляем следующие файлы

system_v.exe
oeminf.exe
oeminfo.exe
oeminfo.ini
rmv.exe
rmv.txt

5) Через тот же архив открываем папочку С:\windows\temp\

6) Удаляем файлик "system_v.exe"

7) Далее через тот же пустой архив заходим на каждый локальный диск и в корне каждого,
ищем два файла:

system_v.exe
Autorun.inf

Нашли? Удаляем.

8) Присоеденяем все ваши флешки к компьютеру, и каждую из них по очереди открываем через тот же наш пустой архив, и ищем и удаляем файлики

system_v.exe
Autorun.inf

9) Создаем текстовый документ и туда копируем строки

[General]
Manufacturer=.

Сохраняем этот текстовый документ, меняем его название на oeminfo и даем разширешение файла .ini

10) Копируем этот файл в папку С:\Windows\system32\

11) Далее нам необходимо убрать, вернее поправить один ключик реестра, который нам изменил червь.

12) Создаем текстовый документ и копируем туда строку

Reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f

Сохраняем текстовый документ, и меняем его расширение вместо .TXT на .BAT
Запускаем наш батник двойным счелчком.

13) Все! Система чиста как в первозданном виде!! )))

© Нестеров Игорь Владимирович 2009 год

2 комментария:

Денис комментирует...

у меня небыло файла C:\WINDOWS\Temp\system_v.exe зарание благодарен

F@got@dmin комментирует...

Возможно другая версия трояна. Нужно смотреть индивидуально.